Amministrare il cloud estate di Azure
Questo articolo illustra come amministrare il cloud di Azure per garantire l'integrità operativa. È necessario un forte controllo amministrativo sulle operazioni cloud per garantire che il cloud sia allineato agli obiettivi aziendali. Seguire queste procedure consigliate:
Identificare l'ambito di gestione
Le responsabilità di gestione variano in base al modello di distribuzione. Usare la tabella seguente per identificare le responsabilità di gestione per l'infrastruttura (IaaS), la piattaforma (PaaS), il software (SaaS) e le distribuzioni locali.
| Aree amministrative | In sede | IaaS (Azure) | PaaS (Azure) | SaaS |
|---|---|---|---|---|
| Dati | ✔️ | ✔️ | ✔️ | ✔️ |
| Codice e runtime | ✔️ | ✔️ | ✔️ | |
| Risorse cloud | ✔️ | ✔️ | ✔️ | |
| Sistema operativo | ✔️ | ✔️ | ||
| Livello di virtualizzazione | ✔️ | |||
| Hardware fisico | ✔️ |
Gestire le modifiche
La modifica è la fonte più comune di problemi nel cloud. Di conseguenza, è necessario un approccio di gestione delle modifiche che tiene traccia delle modifiche e delle relative approvazioni. Dovrebbe anche rilevare le modifiche non approvati e ripristinarle in uno stato desiderato. Seguire questa procedura:
Sviluppare un processo di richiesta di modifica. Usare un sistema formale, ad esempio uno strumento di creazione di ticket, una richiesta pull (GitHub o Azure DevOps) o moduli designati. Il processo di richiesta di modifica deve acquisire i dettagli della chiave, ad esempio il tipo di modifica, l'identità del richiedente, l'ambiente di destinazione, l'ambito e il motivo. Mantenere procedure separate per le richieste di servizio di routine, ad esempio le reimpostazioni delle password.
Valutare il rischio associato alla modifica. Assegnare categorie di rischio chiare (alto, medio, basso) per bilanciare la velocità di distribuzione con la gestione dei rischi. Valutare ogni modifica in base a criteri come la tolleranza di inattività (budget degli errori) e la criticità del carico di lavoro. Usare la tabella seguente come esempio per determinare il flusso di lavoro di approvazione appropriato:
Livello di rischio Periodo di pausa autorizzata Criticità del carico di lavoro Processo di approvazione Modifiche di esempio Alto Nessun tempo di inattività consentito Queste modifiche influiscono sui sistemi cruciali che richiedono una disponibilità continua con tolleranza zero per qualsiasi tempo di inattività. Molteplici revisioni da parte di ingegneri senior, avvisi automatizzati della pipeline, rilascio canary velocee monitoraggio attivo. Aggiornamenti critici dell'infrastruttura Medio Tempi di inattività brevi consentiti Queste modifiche influiscono su sistemi importanti con tolleranza limitata per i tempi di inattività. La pipeline automatizzata contrassegna la modifica. Revisione rapida da parte dei tecnici se il monitoraggio genera un avviso. Aggiornamenti di sistema non critici, miglioramenti delle funzionalità durante finestre di manutenzione brevi Basso È consentito ampio tempo di inattività Queste modifiche influiscono sui sistemi non critici in cui il tempo di inattività esteso è accettabile senza influire sulle operazioni complessive. La distribuzione completamente automatizzata tramite CI/CD esegue test di pre-distribuzione e monitoraggio. Aggiornamenti di routine, aggiornamenti secondari dei criteri standardizzare chiaramente l'approvazione. Definire i criteri di approvazione e l'autorità necessari a ogni livello di rischio. Specificare chi deve esaminare ogni modifica, sia che si tratti di un approvatore singolo o di un comitato di revisione, e chiarire in che modo i revisori devono fornire e risolvere il feedback.
Standardizzare il processo di distribuzione. Delineare chiaramente le procedure per la compilazione, il test e la distribuzione delle modifiche approvate nell'ambiente di produzione. Per informazioni dettagliate, vedere Gestire le risorse cloud.
Standardizzare il processo di post-distribuzione. Implementare i passaggi di monitoraggio e convalida per confermare le modifiche riuscite. Includere una strategia di rollback chiara per ripristinare rapidamente il servizio se una modifica introduce problemi.
Impedire e rilevare modifiche non autorizzate. Usare 'analisi delle modifiche per rilevare le modifiche di configurazione e spiegare le cause sottostanti. Usare Criteri di Azure per negare e verificare le modifiche utilizzando effetti come Deny, DenyAction, Audite auditIfNotExists. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate.
Gestire la sicurezza
L'identità è il perimetro di sicurezza. È necessario verificare le identità, limitare le autorizzazioni e mantenere le configurazioni delle risorse sicure. Seguire questa procedura:
Gestire le identità. Usare ID Entra Microsoft come soluzione unificata di gestione delle identità. Definire chiaramente le autorizzazioni applicando il controllo degli accessi in base al ruolo (RBAC). Usare Microsoft Entra ID Governance per controllare i flussi di lavoro delle richieste di accesso, le verifiche di accesso e la gestione del ciclo di vita delle identità. Abilitare Privileged Identity Management per concedere l'accesso con privilegi JIT. Questa strategia riduce l'accesso con privilegi elevati non necessari. Gestire in modo coerente tutti e tre i tipi di identità (utente, applicazione, dispositivo) per garantire l'autenticazione e l'autorizzazione appropriate.
Gestire l'accesso. Usare Azure controllo degli accessi in base al ruolo (RBAC) e controllo degli accessi in base all'attributo (ABAC) per concedere l'autorizzazione minima per eseguire il processo. Preferire le assegnazioni di ruolo in base ai gruppi di per limitare il sovraccarico di gestione. Concedere le autorizzazioni al livello più basso necessario ambito, ad esempio sottoscrizioni, gruppi di risorse o singole risorse. Evitare ambiti di autorizzazione eccessivamente estesi per impedire l'escalation dei privilegi imprevisti. Assegnare solo le autorizzazioni necessarie per il ruolo di ogni utente.
Gestire le configurazioni delle risorse. Usare l'infrastruttura come codice (IaC) per garantire una configurazione coerente e riproducibile delle risorse. Usare quindi Criteri di Azure per applicare gli standard dell'organizzazione e valutare la conformità. Usare quindi Azure Policy per applicare configurazioni sicure a servizi specifici di Azure. Fare riferimento alle baseline di sicurezza per indicazioni sulle funzionalità di sicurezza disponibili e sulle configurazioni di sicurezza ottimali. Come funzionalità di componente aggiuntivo, usare i criteri di sicurezza in Defender for Cloud per allinearsi agli standard di sicurezza comuni.
Gestire l'autenticazione. Assicurarsi che gli utenti adottino l'autenticazione avanzata tramite l'autenticazione a più fattori (MFA) e usino l'autenticazione a più fattori (MFA) di Microsoft Entra. Richiedere sempre l'accesso condizionale per applicare l'autenticazione in base all'identità utente, allo stato di salute dei dispositivi e al contesto di accesso. Configurare reimpostazione della password self-service e eliminare le password vulnerabili.
Gestire le informazioni di sicurezza. Usare di Microsoft Sentinel per informazioni di sicurezza e anche gestione (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR).
Controllare la sicurezza del carico di lavoro. Per le raccomandazioni sulla sicurezza del carico di lavoro, vedere l'elenco di controllo della sicurezza di Well-Architected Framework e guide ai servizi di Azure (iniziare con la sezione Sicurezza).
Gestire la conformità
La gestione della conformità garantisce che le operazioni di Azure rimangano allineate ai criteri di governance e agli standard normativi stabiliti. È necessario ridurre i rischi salvaguardando l'ambiente da potenziali violazioni e configurazioni errate. Seguire questa procedura:
Informazioni sui criteri di governance. i criteri di governance definiscono i vincoli di alto livello che i team devono seguire per rimanere conformi. Esaminare i criteri dell'organizzazione ed eseguire il mapping di ogni requisito ai processi operativi. Se non si hanno criteri di governance, documentare prima di tutto i criteri di governance .
Gestire la conformità. L'applicazione della conformità garantisce che l'ambiente rimanga allineato agli standard aziendali e normativi. Per indicazioni sui criteri, vedere la tabella seguente.
Raccomandazione Dettagli Iniziare con definizioni di criteri generali Iniziare con le definizioni generali di Criteri di Azure, incluse le posizioni consentite, i tipi di risorse non consentiti e i ruoli personalizzati RBAC di audit. Allinearsi agli standard normativi Usare le definizioni gratuite e predefinite dei Criteri di Azure allineate agli standard normativi, ad esempio ISO 27001, NIST SP 800-53, PCI DSS, GDPR UE
Per altre informazioni, vedere Applicazione della conformità in Azure.
Gestire i dati
La gestione dei dati nelle operazioni cloud comporta la classificazione, la segmentazione, la protezione dell'accesso e la protezione dall'eliminazione. È necessario proteggere le informazioni riservate, mantenere la conformità e garantire l'affidabilità dei dati durante le modifiche operative. Seguire questa procedura:
Individuare e classificare i dati. Identificare e classificare i dati in base alla riservatezza e all'importanza. Questa classificazione guida controlli personalizzati per ogni tipo di dati. Usare Microsoft Purview per la governance dei dati. Per altre informazioni, vedere Origini dati che si connettono a Microsoft Purview Data Map.
Controllare la residenza dei dati. Selezionare le aree all'interno dell'area geografica , ad esempio Stati Uniti o Europa, per soddisfare i requisiti di residenza dei dati. Verificare eventuali eccezioni perché determinati servizi di Azure potrebbero archiviare i dati all'esterno dell'area selezionata. Esaminare regolarmente le impostazioni di residenza dei dati di Azure e i requisiti di conformità per mantenere il controllo completo sui dati dei clienti.
Isolare i carichi di lavoro interni ("Corp") e con connessione Internet ("Online"). Usare i gruppi di gestione per separare i carichi di lavoro interni ed esterni. I carichi di lavoro interni richiedono in genere connettività o connettività ibrida alla rete aziendale. I carichi di lavoro esterni in genere non richiedono la connettività di rete aziendale e potrebbero richiedere l'accesso diretto a Internet in ingresso o in uscita. Per un esempio, esaminare i gruppi di gestione "Corp" (interno) e "Online" (con connessione Internet) in Azure Landing Zone.
Applicare il controllo di accesso. Implementare controlli di accesso affidabili, ad esempio controllo degli accessi in base al ruolo di Azure e controllo degli accessi basato sugli attributi di Azure, per garantire che solo il personale autorizzato acceda ai dati sensibili in base alle classificazioni definite.
Proteggere i dati dall'eliminazione. Usare funzionalità come l'eliminazione temporanea, il controllo delle versioni dei dati e l'immutabilità, se disponibili. Implementare il controllo delle versioni del database e preparare le procedure di rollback. Usare Criteri di Azure per negare le eliminazioni dell'archivio dati con gli effetti Deny e DenyAction o per controllare le modifiche con gli effetti Audit e auditIfNotExists. Se si usa Bicep, è consigliabile usare Bicep stack di distribuzione per evitare modifiche non autorizzate. Usare solo i blocchi delle risorse rigorosamente per evitare modifiche o eliminazioni impreviste di dati critici. Evitare di usare i blocchi delle risorse per proteggere le configurazioni, perché i blocchi delle risorse complicano le distribuzioni IaC.
Gestire i dati del carico di lavoro. Vedere le raccomandazioni di Well-Architected Framework sulla classificazione dei dati .
Per altre informazioni, vedere Applicare la governance dei dati.
Gestire i costi
La gestione dei costi nelle operazioni cloud significa tenere traccia della spesa sia in modo centralizzato che in base al carico di lavoro. Il controllo dei costi deve fornire visibilità sulle spese e incoraggiare la spesa responsabile. Seguire questa procedura:
Gestire ed esaminare i costi. Usare gli strumenti di Gestione costi Microsoft per monitorare i costi cloud. Azure non dispone di un meccanismo a livello di sottoscrizione per limitare la spesa a una determinata soglia. Alcuni servizi, ad esempio 'area di lavoro Azure Log Analytics, hanno limiti di spesa. La strategia di monitoraggio dei costi funge da strumento principale per la gestione delle spese.
Gestire i costi del carico di lavoro. Concedere l'accesso alla fatturazione ai team del carico di lavoro. Chiedere a questi team di usare l'elenco di controllo Ottimizzazione costi del Framework Well-Architected.
Gestire codice e runtime
La gestione del codice e del runtime sono responsabilità del carico di lavoro. I team del carico di lavoro usano l'elenco di controllo 'eccellenza operativa di Well-Architected Framework, che descrive 12 raccomandazioni per controllare il codice e il runtime.
Gestire le risorse cloud
La gestione delle risorse cloud comporta governance, supervisione e manutenzione di tutti i servizi, le distribuzioni e l'infrastruttura di Azure. Stabilire protocolli di distribuzione chiari e strategie di rilevamento proattivo della deriva per mantenere la coerenza tra gli ambienti. Seguire queste raccomandazioni:
Gestire le distribuzioni del portale
Definire protocolli e limiti per le distribuzioni del portale per ridurre al minimo il potenziale di problemi di produzione. Seguire questa procedura:
Definire i criteri di distribuzione del portale. Assicurarsi che le modifiche significative basate sul portale rispettino i processi di gestione delle modifiche stabiliti. Usare le distribuzioni del portale principalmente per la creazione rapida di prototipi, la risoluzione dei problemi o piccole modifiche negli ambienti di sviluppo e test. Evitare modifiche del portale non strutturate perché queste modifiche causano deviazioni, configurazioni errate e problemi di conformità. Si basano invece sui modelli IaC (Infrastructure-as-Code) controllati dalla versione per coerenza. Per ulteriori informazioni, vedere gestione delle distribuzioni di codice.
differenziare gli ambienti. Limitare le modifiche basate sul portale esclusivamente agli ambienti non di produzione. Consentire la creazione rapida di prototipi esclusivamente in ambienti di sviluppo o test dedicati e applicare controlli rigorosi nell'ambiente di produzione.
Limitare le autorizzazioni del portale. Limitare le funzionalità di distribuzione dal portale usando il controllo degli accessi in base al ruolo. Assegnare le autorizzazioni di sola lettura per impostazione predefinita ed eseguire l'escalation dei privilegi solo quando necessario.
Concedere l'accesso JUST-In-Time. Usare Privileged Identity Management (PIM) per accedere alle risorse di Azure e Microsoft Entra. Richiedere approvazioni sequenziali da più utenti o gruppi per l'attivazione di PIM. Riservare ruoli con privilegi ("A0" ruoli di amministratore con privilegi avanzati) esclusivamente per scenari di emergenza.
Struttura RBAC basata sul modello operativo. Progettare politiche RBAC personalizzate per i team operativi, compresi livelli di supporto, operazioni di sicurezza, piattaforme, rete e carichi di lavoro.
Controlla tutte le attività. Monitorare e registrare tutte le azioni nel sistema. Usare Criteri di Azure per verificare (Verificare o auditIfNotExists) modifiche. Inoltre, configurare l'avviso in Azure Monitor per notificare alle parti interessate quando un utente elimina una risorsa di Azure. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate.
Usare modelli controllati dalla versione. Limitare l'uso del portale agli scenari di emergenza se si usano distribuzioni IaC. Le modifiche del portale comportano la deriva della configurazione dai modelli IaC. Replicare immediatamente tutte le modifiche basate sul portale nei modelli IaC sotto controllo di versione, come i modelli Bicep, Terraform, o ARM. Esportare regolarmente le configurazioni delle risorse di Azure e archiviarle come IaC per mantenere gli ambienti di produzione allineati alle configurazioni approvate e tracciabili. Vedere indicazioni su come esportare le configurazioni di Azure come Bicep, Terraformo modelli ARM. Prendi in considerazione le specifiche del modello se utilizzi modelli ARM.
Strumento Caso d'uso Bicep IaC specifico di Azure gestibile e leggibile Terraform Soluzione multicloud, supporto più ampio per la community modelli ARM Controllo completo, confortevole con JSON
Gestire le distribuzioni di codice
Adottare le procedure consigliate per automatizzare e controllare le modifiche apportate al codice e all'infrastruttura. Seguire questa procedura:
standardizzare gli strumenti. Usare un set di strumenti coerente per ridurre al minimo il cambio di contesto. Scegliere gli strumenti di sviluppo (VS Code, Visual Studio), un repository di codice (GitHub, Azure DevOps), una pipeline CI/CD (GitHub Actions, Azure Pipelines) e una soluzione IaC (Bicep, Terraformo modelli ARM) che funzionano insieme.
Usare il controllo della versione. Mantenere una singola origine di verità per il codice. Usare il controllo della versione per ridurre la deriva della configurazione e semplificare le procedure di rollback.
Usa le pipeline di distribuzione. Una pipeline CI/CD automatizza il processo di compilazione, esegue i test e analizza il codice per individuare problemi di qualità e sicurezza con ogni pull request. Usare GitHub Actions o azure Pipelines per compilare e distribuire il codice dell'applicazione e i file IaC. Applicare hook pre-commit e analisi automatizzate per rilevare tempestivamente modifiche non autorizzate o ad alto rischio.
Distribuzioni di prova. Approvazioni di fase all'interno delle pipeline CI/CD per convalidare le distribuzioni in modo progressivo. Seguire questa sequenza: sviluppo, verifica della compilazione, test di integrazione, test delle prestazioni, test di accettazione utente (UAT), staging, rilasci sperimentali, preproduzione e infine produzione.
Usare l'infrastruttura come codice (IaC). Usare IaC per garantire la coerenza e gestire le distribuzioni tramite il controllo della versione. Passare dal modello di verifica basato sul portale di Azure a IaC per gli ambienti di produzione. Usare i modelli Bicep, Terraformo ARM per definire le risorse. Per utilizzare Bicep, usare i moduli e prendere in considerazione gli stack di distribuzione . Per il modello ARM, è consigliabile usare specifiche del modello per il versionamento della distribuzione.
Applicare le procedure consigliate per il repository di codice. Seguire questi standard riduce gli errori, semplifica le revisioni del codice ed evita problemi di integrazione. Per gli ambienti di produzione ad alta priorità:
Requisito Descrizione Disabilitare i push diretti Bloccare i commit diretti nel ramo principale Richiedi le pull request Richiedi che tutte le modifiche passino attraverso una pull request. Richiedere revisioni del codice Assicurati che qualcuno diverso dall'autore riveda ogni pull request. Applicare le soglie di copertura del codice (code coverage) Verificare che una percentuale minima di codice superi i test automatizzati per tutte le richieste pull Usare le pipeline di convalida Configurare le regole di protezione dei rami per eseguire una pipeline di convalida per le richieste pull Effettuare i controlli di onboarding del team workload. Verificare che le nuove codebase e i team siano allineati agli obiettivi aziendali, agli standard e alle procedure consigliate. Usare un elenco di controllo per verificare la struttura del repository del codice, gli standard di denominazione, gli standard di codifica e le configurazioni della pipeline CI/CD.
Gestire la deriva della configurazione
Gestire la deviazione della configurazione identificando e correggendo le discrepanze tra la configurazione prevista e l'ambiente attivo. Seguire queste procedure consigliate:
Impedire e rilevare le modifiche. Usare 'analisi delle modifiche per rilevare le modifiche di configurazione e spiegare le cause sottostanti. Usare Criteri di Azure per negare e controllare le modifiche usando effetti come Deny, DenyAction, Audite auditIfNotExists. Se si usa Bicep, è consigliabile usare stack di distribuzione Bicep per evitare modifiche non autorizzate.
Rilevare la deviazione della configurazione IaC. Drift si verifica quando un utente aggiorna il file IaC (intenzionale, non intenzionale) o apporta una modifica nel portale di Azure. Confrontare regolarmente l'ambiente attivo con la configurazione desiderata per rilevare la deriva:
Memorizza le configurazioni desiderate e l'ultima configurazione valida conosciuta. Salva il file di configurazione desiderato in un repository con controllo di versione. Questo file mostra la configurazione originale prevista. Mantenere una configurazione valida più recente come riferimento affidabile per il ripristino e base per il rilevamento delle deviazioni.
Rilevare la deviazione della configurazione prima della distribuzione. Visualizzare in anteprima le potenziali modifiche prima della distribuzione usando Terraform plan, Bicep what-ifo ARM template what-if. Esaminare accuratamente le discrepanze per garantire che le modifiche proposte siano allineate allo stato desiderato.
Rilevare la deriva dopo la distribuzione. Confrontare regolarmente gli ambienti live con le configurazioni desiderate tramite controlli di deriva regolari. Integrare questi controlli nelle pipeline CI/CD o eseguirli manualmente per mantenere la coerenza.
eseguire il rollback all'ultima configurazione valida nota. Sviluppare strategie di rollback chiare che usano procedure automatizzate all'interno della pipeline CI/CD. Usare l'ultima configurazione valida nota per ripristinare rapidamente le modifiche indesiderate e ridurre al minimo i tempi di inattività.
Ridurre al minimo le modifiche guidate dal portale. Ridurre al minimo le modifiche non IaC solo agli scenari di emergenza. Applicare controlli di accesso rigorosi, ad esempio Privileged Identity Management. Aggiornare tempestivamente i file IaC se sono necessarie modifiche manuali per mantenere l'accuratezza della configurazione desiderata.
Gestire i sistemi operativi
Dove si usano macchine virtuali, è necessario gestire anche il sistema operativo. Seguire questa procedura:
Automatizzare la manutenzione delle macchine virtuali. In Azure usare gli strumenti di automazione per creare e gestire macchine virtuali di Azure. Usare Azure Machine Configuration per controllare o configurare le impostazioni del sistema operativo come codice per i computer in esecuzione in Azure e in ambienti ibridi.
Aggiornare i sistemi operativi. È necessario gestire gli aggiornamenti guest e gli di manutenzione host per assicurarsi che i sistemi operativi siano aggiornati a scopo di sicurezza.
Monitorare le operazioni in guest. Usare servizio Rilevamento modifiche e inventario di Azure per migliorare il controllo e la governance per le operazioni in guest. Monitora le modifiche e fornisce log di inventario dettagliati per i server in Azure, in locale e in altri ambienti cloud.
Strumenti di gestione di Azure
| Categoria | Strumento | Descrizione |
|---|---|---|
| Gestire le modifiche | Analisi delle modifiche | Rileva le modifiche alla configurazione e spiega le cause sottostanti |
| Gestire le modifiche | Criteri di Azure | Applica, controlla o impedisce modifiche alle risorse cloud |
| Gestire le modifiche | Stack di distribuzione di Bicep | Impedisce modifiche non autorizzate. |
| Gestire la sicurezza | baseline di sicurezza di Azure | Fornisce indicazioni sulle funzionalità di sicurezza disponibili e sulle configurazioni di sicurezza ottimali |
| Gestire la sicurezza | pilastro della sicurezza di Well Architected Framework | Indicazioni sulla sicurezza per la progettazione del carico di lavoro |
| Gestire la sicurezza | guide al servizio di Azure (iniziare con la sezione Sicurezza) | Raccomandazioni sulla configurazione della sicurezza per i servizi di Azure |
| Gestire la sicurezza | Microsoft Entra ID | Fornisce una gestione unificata delle identità |
| Gestire la sicurezza | Defender per il Cloud | Allinea le configurazioni delle risorse agli standard di sicurezza |
| Gestire la sicurezza | Microsoft Sentinel | Fornisce informazioni sulla sicurezza e anche gestione (SIEM) e orchestrazione della sicurezza, automazione e risposta (SOAR) |
| Gestire la sicurezza | RBAC (controllo degli accessi in base al ruolo) di Azure | Concede l'accesso sicuro con assegnazioni basate sui ruoli |
| Gestire la sicurezza | Controllo degli accessi basato sugli attributi di Azure | Concede l'accesso sicuro in base alle condizioni degli attributi |
| Gestire la sicurezza | Microsoft Entra ID Governance | Gestisce i flussi di lavoro di accesso e il ciclo di vita delle identità |
| Gestire la sicurezza | Gestione delle Identità Privilegiate | Offre l'accesso con privilegi tempestivi |
| Gestire la sicurezza | Microsoft Entra multifactor authentication (MFA) | Applica l'autenticazione a più fattori avanzata |
| Gestire la sicurezza | accesso condizionale | Applica l'autenticazione basata sul contesto |
| Gestire la sicurezza | reimpostazione autonoma della password | Consente la reimpostazione sicura della password utente |
| Gestire la conformità | Azure Policy | Applica gli standard e protegge le configurazioni delle risorse |
| Gestire i dati | Microsoft Purview | Regola e classifica i dati sensibili |
| Gestire i dati | Criteri di Azure | Impedisce o controlla modifiche o eliminazioni impreviste delle risorse |
| Gestire i dati | blocchi delle risorse | Impedisce modifiche o eliminazioni impreviste |
| Gestire i costi | Monitorare i costi | Il monitoraggio è essenziale per gestire i costi del cloud |
| Gestire le risorse cloud | Criteri di Azure | Applica, controlla o impedisce modifiche alle risorse cloud |
| Gestire le risorse cloud (distribuzioni del portale) | esportazione dei modelli ARM | Esporta le configurazioni delle risorse come modelli IaC |
| Gestire le risorse cloud (distribuzioni del portale) | Avvisi di Azure Monitor | Notifica agli stakeholder delle modifiche alle risorse |
| Gestire le risorse cloud (distribuzioni di codice) | Bicep | Gestisce l'infrastruttura come codice per le risorse di Azure |
| Gestire le risorse cloud (distribuzioni di codice) | stack di distribuzione Bicep | Supporta distribuzioni controllate dalla versione e impedisce modifiche non autorizzate |
| Gestire le risorse cloud (distribuzioni di codice) | Terraform | Gestisce l'infrastruttura multicloud come codice |
| Gestire le risorse cloud (distribuzioni di codice) | Modelli ARM | Definisce e distribuisce le risorse di Azure con i modelli |
| Gestire le risorse cloud (distribuzioni di codice) | specifiche del modello ARM | Versiona e gestisce i modelli ARM per garantire coerenza |
| Gestire le risorse cloud (distribuzioni di codice) | GitHub Actions | Automatizza pipeline di compilazione, test e distribuzione |
| Gestire le risorse cloud (distribuzioni di codice) | Azure Pipelines | Automatizza i processi di compilazione e distribuzione |
| Gestire la deriva | Criteri di Azure | Applica, controlla o impedisce modifiche alle risorse cloud |
| Gestire la deriva | L'analisi delle modifiche | Rileva e spiega le modifiche di configurazione |
| Gestire la deriva | Bicep scenario ipotetico | Visualizza in anteprima le potenziali modifiche alla configurazione |
| Gestire la deriva | piano Terraform | Visualizza in anteprima le potenziali modifiche prima della distribuzione di Terraform |
| Gestire la deriva | modello ARM what-if | Visualizza in anteprima le potenziali modifiche alla configurazione |
| Gestire i sistemi operativi | Configurazione di Azure Machine | Controlla e configura le impostazioni del sistema operativo come codice |
| Gestire i sistemi operativi | Servizio di Rilevamento modifiche e inventario di Azure | Monitora e registra le modifiche per i sistemi operativi |
| Gestire i sistemi operativi | strumenti di automazione | Automatizza la manutenzione delle macchine virtuali |